环境复现参照网上教程即可
fastjson(1.2.24)
如何判断是不是fastjson
1.POST请求
2.尝试构造fastjson数据包的错误格式并发送,例如:
{
"b":
返回结果如下图,则有可能出现fastjson反序列化漏洞:
fastjson的漏洞利用
poc在网上复制使用即可,
上面的rm://跟的是rmi服务器地址,dnslog里定义了一个dnslog.java文件,如下图
分析POC
先介绍一下fastjson的数据传输格式:
例如原始数据为
class Apple implements Fruit{
private Big_Decimal price;
}
使用fastjson传输值则为:
{
“fruit”:{
"@type":"com.hollis.lab.fastjson.test.Apple",
"price":0.5
}
}
1.@type表示引用某类,poc中引用了com.sun.rowset.JdbcRowSetlmpl,因为该类可以让fastjson使用rmi,相当于上面出现的引用了Apple类
2.rmi是什么?rmi可以让一个机器执行另一个机器的命令。
3.为什么要定义一个dataSourceName?和上面Apple的例子一样,后端已经定义了一个dataSourceName,所以可以直接传值
fastjson1.2.47
如何判断是不是fastjson
1.POST请求
2.尝试构造fastjson数据包的错误格式并发送,例如:
{
"b":
出现了关键词(com.alibaba.fastjson.JSON)
fastjson的漏洞利用
对应POC如下图
分析POC
fastjson的绕过主要在于调用到com.sun.rowset.JdbcRowSetlmpl这个"危险类",其他的命令格式都是写死的。一旦调用成功则会触发可以执行rmi,但在1.2.47关闭autoType后反而出现了另一个问题: